使用docker部署应用出现漏洞不方便升级时封堵方案(更新20240508)

已于 2024-05-08 11:20:10 修改
阅读量586 收藏 16
点赞数 10
文章标签: docker 容器 运维
于 2024-01-11 10:53:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010279294/article/details/135520966
版权

背景

        日常运维工作中会遇到安全扫描,扫描出漏洞后的第一时间是想怎么升级一下应用,但是有时候研发大佬会告诉你 “建议不进行升级”,但是甲方爸爸又要求将漏洞处理了,这时我们可以使用iptables封堵端口或者封堵ip的方式进行屏蔽,本文主要记录如何封堵docker方式部署应用出现漏洞时封堵方法,如有什么地方不足请各位大佬指正。

        通过封堵IP的方式直接将所有应用都进行封堵,为什么不使用firewalld方式来封堵呢,查询了网上很多文章,自己也做了很多实验,结论就是docker run -p暴露的端口实际上类似于在防火墙上打了个洞,防火墙自身无法进行对应端口的封堵,所以选择使用iptables方式,本人也是对iptables不是特别了解,于是乎只记录干活的步骤。

关闭防火墙,生产环境docker运行时请勿重启防火墙,请勿重启防火墙,请勿重启防火墙!!

$ sudo systemctl stop firewalld

$ sudo systemctl disable firewalld

$ sudo mask firewalld

方案一,通过ip方式封堵

添加iptables 规则,docker-ce的话  可以在DOCKER-USER Chain中加iptables规则

##限制容器外所有ip访问策略,禁止所有ip通过ens33网卡访问docker应用

$ iptables -I DOCKER -i ens33  -s 0.0.0.0/0 -j DROP

##放开需要允许通过的IP地址或者IP地址段访问docker容器

$ iptables -I DOCKER -i ens33  -s 192.168.147.136 -j ACCEPT

$iptables -I DOCKER -i ens33  -s 192.168.147.1 -j ACCEPT

## 以上的规则大概意思就是允许192.168.147.136和192.168.147.1两个地址访问docker部署的应用

以下方式有个弊端,当机器重启或者docker重启的时候容器IP会发生变化,规则重新载入会造成服务不通,经过测试可以修改为文末。

##保存iptables规则

$iptables-save > /etc/sysconfig/iptables

##创建crontab定时任务,避免在机器重启后规则未自动加载,频率根据自己需求修改

$crontab -e

*/2 * * * * /usr/sbin/iptables-restore < /etc/sysconfig/iptables 

需要开放的地址较多可以使用iprange,如下

##通过取反的方式放通某些地址访问,以下规则意思是,除了192.168.147.136-147这个范围内的地址,其余的通过ens33访问都拒绝

$iptables -I DOCKER -m iprange -i ens33 ! --src-range 192.168.147.136-192.168.147.147 -j DROP

方案二,通过端口方式封堵(以下端口均为容器内部端口)

##禁止所有地址访问3306端口(本机不影响)

$iptables -I DOCKER -p tcp --dport=3306 -j DROP

##开放需要访问应用的地址

$iptables -I DOCKER -p tcp -s 192.168.147.1 --dport=3306 -j ACCEPT

以上规则服务若是在同一网络命名空间下也是拒绝的所以需要添加对docker网络地址段的允许规则,这样通过容器内部调用”服务名+端口“就不会有影响了

$iptables -I DOCKER -p tcp -s 172.0.0.0/8 --dport=3306 -j ACCEPT

##保存iptables规则

$iptables-save > /etc/sysconfig/iptables

##创建crontab定时任务,避免在机器重启后规则未自动加载,频率根据自己需求修改

$crontab -e

*/2 * * * * /usr/sbin/iptables-restore < /etc/sysconfig/iptables 

通过iptables-restore方式载入iptables规则,在服务器重启或者docker重启后,容器IP发生变化,导致所有服务不通,可以通过编写脚本在服务器重启后添加iptables规则脚本

$vi /root/iptables.sh

#!/bin/bash

sleep 60            ###需要docker服务启动后才能在DOCKER Chain中添加规则

iptables -I DOCKER -p tcp  --dport=3306 -j DROP

iptables -I DOCKER -p tcp -s 192.168.147.1  --dport=3306 -j ACCEPT 

iptables -I DOCKER -p tcp -s 172.0.0.0/8 --dport=3306 -j ACCEPT

###然后再crontab中添加定时任务

$crontab -e

@reboot  /bin/bash +x /root/iptables.sh

###这样在机器重启60s后就会添加相应iptables规则

僧藏blue
关注
Docker容器化安全:漏洞扫描和安全策略
晓晓的天空
12-23 2661
容器化安全是现代应用程序开发和部署的重要组成部分。通过漏洞扫描、制定安全策略、采取安全措施、定期更新镜像和漏洞管理,可以保护Docker容器应用程序免受潜在的威胁。
iptables限制宿主机跟Docker IP和端口访问(安全整改)
m0_66406345的博客
04-05 2227
您可以结合使用-s或--src-range与-d或--dst-range一起控制连续源地址和连续目标地址。经查阅大量资料,发现Docker容器创建会自动创建iptables策略,Docker使用的i规则链是DOCKER-USER,所以需使用iptables对DOCKER-USER链做限制。#注意拒绝其他所有IP地址进行访问,此规则因该在其他规则之前执行,以确保其生效。整改:对端口做限制,只允许平台服务器的网段对该端口进行访问,其余都拒绝。,请在DOCKER-USER过滤器链的顶部插入一个否定的规则。
docker学习
weixin_42764932的博客
03-12 470
文章目录首先了解虚拟机技术容器container技术应运而生dockerDocker的三个概念架构具体操作 首先了解虚拟机技术 可以看到,虚拟机分别由基础设施、操作系统、虚拟机监视器、VM(虚拟机)里的操作系统、依赖的各种库以及配置和应用系统组成。 操作系统运行起来是需要占用很多资源,单纯的操作系统其磁盘占用至少几十G起步,内存要几个G起步。 假设我有一台机器,16G内存,需要部署三个应用,那么使用虚拟机技术可以这样划分: 问题一:可以看到虚拟本身就占据了大量内存,导致无法划分出更多虚拟机从而部署更多的
Docker真的被禁止使用了?
码农小胖哥
08-17 3万+
1.前提概要近日知名开源容器引擎Docker引起关注,各大技术自媒体纷纷发文表示Docker被禁止使用了。这是为什么呢?原来Docker公司最新的服务条款 8 月 13 日生效。条款申明...
黑客攻防演练靶站DVWA应用实践
这里是二进制空间安全博客,主要分享网络安全、信息安全和数据安全相关的技术文章。内容覆盖编程语言、基础知识、漏洞分析、攻防技巧、安全工具使用、最佳实践等安全技术主题。
09-16 212
学习黑客攻防技术在以前经常是通过虚拟机自搭建服务来练习, 但自搭建的服务通常只针对包含某一个特定的漏洞,如果想学习其它的知识,往往需要找到对应漏洞版本的组件来独立安装,非常不方便。DVWA(Damn Vulnerable Web Application)是一个专门用于渗透测试和安全培训的开源漏洞Web应用程序
机器学习平台建设
SoftwareTeacher的专栏
09-13 3万+
本文从机器学习平台的架构开始,再到具体的功能,然后从需求的角度带给读者思考,找到合适的机器学习平台建设之路。最后,推荐了微软开源开放的机器学习平台OpenPAI,是可私有部署的机器学习训练平台。 本文不少要点都可以展开为一篇文章,进行单独介绍,缩减编排是为了帮助各层次读者,了解机器学习平台的概况,起到综述的作用。如果读者对大数据、计算平台比较了解,能看到许多熟悉的内容,发现大数据平台与机器学习平...
详解云WAF:免费GOODWAF归来
Jeromeyoung
11-30 1136
云WAF(Cloud Web Application Firewall)是一种部署在云端的专业网络安全解决方案。它为Web应用程序提供强力的保护,通过检测和阻止恶意流量、攻击和漏洞,确保Web应用程序的安全性和可用性。云WAF利用先进的安全策略和实威胁情报,能够识别和过滤各种常见的攻击形式,例如SQL注入、跨站点脚本(XSS)和跨站请求伪造(CSRF)等。
安全加固实施
qq_23710315的博客
07-13 1580
Windows操作系统安全加固 1.账户管理和认证授权 1.1账户 默认账户安全 禁用Guest账户。 禁用或删除其他无用账户(建议先禁用账户三个月,待确认没有问题后删除。) 操作步骤 打开控制面板>管理工具>计算机管理,在系统工具>本地用户和组>用户中,双击Guest帐户,在属性中选中帐户已禁用,单击确定。 按照用户分配帐户 按照用户分配帐户。根据业务要求,设定不同的用户和用户组。例如,管理员用户,数据库用户,审计用户,来宾用户等。 操作步骤 打开控制面板>
设备面试题+蓝队知识题+流量
LCW991207的博客
04-02 2053
fastjson提供了autotype功能,在请求过程中,我们可以在请求包中通过修改@type的值,来反序列化为指定的类型,而fastjson在反序列化过程中会设置和获取类中的属性,如果类中存在恶意方法,就会导致代码执行等这类问题。服务端提供了能够从其他服务器应用获取数据的功能,我们服务端请求的目标都是与该请求服务器处于同一内网的资源服务,但是如果没有对这个请求的目标地址、文件等做充足的过滤和限制,攻击者可通过篡改这个请求的目标地址来进行伪造请求,进行未授权访问。OA啊,等等,做的真实一点点。
docker入门(利用docker部署web应用)
热门推荐
仰望星空
05-26 41万+
前言:本课程是在慕课网上学习 第一个docker化的java应用 课程所做的笔记,供本人复习之用 目录 第一章 什么是docker 1.1 docker的发展史 1.2 docker国内应用史 1.3 什么是Docker 第二章 了解docker 2.1 docker思想 2.1.1 集装箱 2.1.2 标准化 2.1.3 隔离 2.2 docker解决的问题 2.2.1...
【云原生】docker 部署 Doris 数据库使用详解
congge
09-08 1万+
docker 部署 Doris 数据库使用详解
Docker(十六):使用Docker部署Harbor私有镜像仓库
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
03-28 2万+
🟢 Docker(十六):使用Docker部署Harbor私有镜像仓库
【Git管理工具】使用Docker部署GitLab服务器
jks212454的博客
09-03 6225
【Git管理工具】使用Docker部署GitLab服务器
DOCKER 部署应用
qq_44529550的博客
03-06 1990
DOCKER 部署应用 DOCKER 部署应用DOCKER 部署应用安装 Docker部署 MySQL部署 Tomcat部署 Redis 下面操作没有特别说明,都是在虚拟机CentOS7上完成。 安装 Docker 第 1 步:将 yum 包更新到最新,更新过程中出现输入的界面都输入 y 。 命令:yum update 出现 Complete! 表示更新完成 **第 2 步:**安装需要的软件包( yum-utils、device-mapper-persistent-data、lvm2),yum-u
Docker从入门到进阶】03.进阶应用
10-03 1753
创建自定义网络这样创建的网络默认使用桥接模式。查看网络将容器连接到自定义网络连接现有容器到网络断开容器与网络的连接多服务配置Docker Compose 文件允许您通过 service 块定义多个服务。每个服务定义了一个 Docker 容器使用这些容器共同协作以完成一个复杂的应用。网络与卷管理支持定义自定义网络,方便应用内不同服务之间的通信。通过卷的使用实现数据的持久化和共享。在中可以明确声明各服务间的依赖关系。环境变量和配置管理可以在 Compose 文件中嵌入环境变量,或使用
k8s 中的金丝雀发布(灰度发布)
weixin_68398469的博客
10-06 1291
金丝雀发布(Canary Release)也称为灰度发布,是一种软件发布策略。主要目的是在将新版本的软件全面推广到生产环境之前,先在一小部分用户或服务器上进行测试和验证,以降低因新版本引入重大问题而对整个系统造成的影响。是一种Pod的发布方式。金丝雀发布采取先添加、再删除的方式,保证Pod的总量不低于期望值。并且在更新部分Pod后,暂停更新,当确认新Pod版本运行正常后再进行其他版本的Pod的更新
Windows 通过 Docker 安装 GitLab
m0_58648890的博客
10-05 1173
image: 'gitlab/gitlab-ee:latest' # 使用 GitLab 企业版镜像,或将 'gitlab-ee' 改为 'gitlab-ce' 使用社区版。- './config:/etc/gitlab' # GitLab 配置文件存储路径。- './logs:/var/log/gitlab' # GitLab 日志文件存储路径。- './data:/var/opt/gitlab' # GitLab 数据存储路径。- '80:80' # 映射 HTTP 端口。
IDEA连接Docker(远程)
最新发布
L0g1c的博客
10-06 712
首先确保已经安装了CentOS 7操作系统。
Docker入门教程:使用Docker部署NodeJS应用
"dcoker入门,使用docker部署NodeJs应用" 在本文中,我们将探讨如何使用Docker这个开源应用容器引擎来部署Node.js应用程序。Docker通过虚拟化技术为应用程序提供了安全、可移植和可重复部署的环境。它将应用程序与...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值